Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
Täglich ereilen uns die Meldungen über Datenklau, Hacker Angriffe , Cyber Kriminalität oder Spionage. Es sind Themen die Ihnen und Ihrem Unternehmen mehr den je Schaden zufügen. Skandale wie PRISM sind nur die Spitze des Eisbergs.
Milliardenschäden durch Industriespionage
Laut der Allianz Global Corporate and Speciality Studie (AGCS) wird für das Jahr 2016 ein weltweiter Schaden durch Cyber Crime in der Höhe von 393 Millarden Euro prognostiziert. Die Dunkelziffer dürfte jedoch viel höher sein. Das Misstrauen gegenüber Datenmissbrauch wächst zunehmend in der Wirtschaft und die Zahl der Cyber Attacken steigt rasant.
2014 gab es um 48 Prozent mehr Cyber Attacken als im Vergleichszeitraum des Vorjahres.
Bei unseren Nachbarn in Deutschland haben bereits mehr als 93 Prozent der kleinen und mittleren Unternehmen Schäden durch Sicherheitslücken im Unternehmensbereich erlitten.
Die Zahlen belegen eindringlich, wie hoch das neue Bedrohungspotential tatsächlich ist. secriso Consulting ist sich bewusst, dass Österreich keine Insel der Seligen ist und geht daher pro-aktiv zum Schutz der österreichischen Unternehmen vor.
Die große Frage: Wer trägt die Verantwortung?
Als IT Manager und CEO werden Sie zur Verantwortung gezogen , solange Sie Ihre Unschuld nicht beweisen können.
Durch die Umsetzung entsprechender Massnahmen zur Risikovermeidung und -reduktion sichern Sie sich ab. Die Einführung eines Informationssicherheits-Managagementsystems umfasst sämtliche erforderlichen Aktivitäten und Dokumentationen, um den den gesetzlichen Anforderungen und somit der gesetzlichen Sorgfaltspflicht nach zu kommen.
Sachverständige orientieren sich bei der Erstellung von Gutachten an internationale Best Practices, wie dem Standard ISO 27001. Ein Managementsystem nach ISO 27001 ist somit schon die "halbe Miete" und unterstützt Sie im Schadensfall bei der Beweislage.
Die Pflicht Daten zu schützen
Informationsssicherheit muss im Rahmen der "Compliance" zahlreiche rechtliche Bestimmungen beachten. Ausschlag-gebend hierfür ist vor allem die anzuwendende Sorgfaltspflicht. Darüber hinaus existieren spezielle Anforderungen durch Buchführungs- und Aufbewahrungspflichten sowie beim Umgang mit personenbezogenen und Fernmeldedaten.
Für Unternehmen ist es wichtig, nicht nur etwaige Bedrohungen der eingesetzten IT-Systeme erfolgreich abzuwehren, sondern auch im Rahmen der so genannten Compliance die eigene Rechtskonformität sicherzustellen. Dies betrifft nicht nur international tätige, börsennotierte Unternehmen, die in der Regel durch den US-amerikanischen Sarbanes-Oxley-Act (SOX) hierzu verpflichtet sind.
Die einschlägigen Rechtsvorschriften im Bereich der Informationssicherheit sind jedoch nicht in einem einzelnen Gesetz zusammengeführt, sodass ihre Zusammenhänge oftmals unterschätzt werden. Da Zuwiderhandlungen nicht nur haftungsbedingt zivilrechtlichen Schadensersatz, sondern auch Ordnungswidrigkeiten oder gar Strafen zur Folge haben können, sind Unternehmen und ihre verantwortlichen Personen gut beraten, die rechtlichen Anforderungen zur Informationssicherheit zu beachten. Zudem kann der Nachweis der Verlässlichkeit und Stabiltät des eingesetzten IT-Systems im Rahmen von Basel II zu einem besseren Rating führen und so Wettbewerbsvorteile bringen.
Die Datenschutz-Grundverordnung (DSGVO) hat einen Strafrahmen für Verstöße in der Höhe von 4 % des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio Euro festgelegt - je nachdem was höher ist! Die Verordnung gilt für alle EU-Länder und ist seit Mai 2016 mit einer Übergangsfrist von 2 Jahren in Kraft. Anwendbar und exekutiert wird die DSGVO somit ab 25. Mai 2018.
Sorgfaltspflichten
Die rechtlichen Vorschriften zur Informationssicherheit hat die Unternehmensleitung bereits im Rahmen ihrer Sorgfaltspflicht zu erfüllen. So hat etwa der Vorstand einer AG gemäß Aktiengesetz geeignete Maßnahmen zu treffen, um für den Fortbestand der Gesellschaft gefährdende Entwicklungen früh zu erkennen und hierzu ein Überwachungssystem einzurichten. Dies gilt auch sinngemäß für Geschäftsführer einer GmbH.
Im Rahmen der Sorgfaltspflicht wird in erster Linie die Übereinstimmung des Handelns verantwortlicher Personen mit Gesetz und Gesellschaftsbeschlüssen sowie das Vermeiden risikoreicher Geschäftsvorfälle verstanden. Deshalb ist es bei allen Kapitalgesellschaften und Mehrpersonengesellschaften unerlässlich, ein Risikomanagementsystem einzurichten, das vor allem auch die Informationssicherheit gewährleistet, da die IT mittlerweile vitale Komponente jedes Unternehmens ist. Im Streitfall muss die Unternehmensleitung ihre Sorgfalt nachweisen.
Nachweispflicht
Ein Unternehmen hat im Zweifel nachzuweisen, dass es in ausreichendem Maße Vorkehrungen gegen Bedrohungen der eingesetzten IT-Systeme getroffen hat. Als Mindestanforderung ist der Einsatz einer Firewall und eines Viren-Scanners anzusehen, wobei auftretende Probleme über Intrusion-Detection-Systeme oder Penetrationstests frühzeitig festzustellen und rasch zu beheben sind. Das Unternehmen sollte über einen Krisen- oder Notfallplan verfügen. Dies ist schon aus eigenen Interesse gefordert, etwa zum Schutz der Betriebs- und Geschäftsgeheimnisse. Da dies weitreichende Konsequenzen hat, sollte ein Unternehmen zur Informationssicherheit ausdrücklich Verantwortlichkeiten bei der Unternehmensleitung festlegen oder einen Informationssicherheitsmanager einsetzen. Die Anwendung standardisierter Verfahren (z. B. nach ISO 27001) ist zwar nicht zwingend vorgeschrieben, bietet jedoch hilfreiche Hinweise, wie die Informationssicherheit gewährleistet werden kann.
Buchführung und Archivierung
Laut Unternehmensgesetzbuch (UGB) ist jeder Unternehmer dazu verpflichtet, seine Bücher nach den Grundsätzen ordnungsgemäßer Buchführung zu führen. Dies kann auch auf Datenträgern geschehen, vorausgesetzt diese sind für die Dauer der Aufbewahrungsfrist verfügbar und können jederzeit innerhalb angemessener Frist lesbar gemacht werden.
Die eingesetzte Software zur Buchführung und die verarbeiteten Geschäftsdaten müssen gegen Verlust gesichert und gegen unberechtigte Veränderung geschützt werden. Das gewählte Datensicherungskonzept muss auch Hardware und Leitungen umfassen (inkl. der Netzwerke). Wirksame Zugriffs- und Zugangskontrollen sind zu gewährleisten. Dem Risiko der Datenträgervernichtung ist durch geeignete Aufbewahrungsorte zu begegnen, weshalb beispielsweise Sicherungskopien an einem gesonderten Standort aufzubewahren sind. Für Aufbewahrungsstandorte muss generell ein ausreichender Schutz gegen Verlust durch Feuer, Temperatur, Feuchtigkeit oder Magnetfelder gewährleistet sein.
Unternehmensdaten sind aber nur dann auf Datenträger ausreichend gesichert, wenn sie zuverlässig, zeitnah (mindestens täglich!) und umfassend (eine Vollsicherung mindestens einmal wöchentlich!) gespeichert werden, ansonsten wird die erforderliche Sorgfalt verletzt. Die Gewährleistung der Betriebsbereitschaft der IT-Infrastruktur im Rahmen des Katastrophenplans zählt gleichfalls zu den zwingenden Anforderungen, die auch regelmäßig durch Wirtschaftsprüfer im Rahmen der Abschlussprüfung bei Einsatz von Informationstechnik untersucht werden.
Datenschutz
Beim Umgang mit personenbezogenen Daten sind in erster Linie die Bestimmungen des Datenschutzgesetzes (DSG 2000) anzuwenden. Demnach hat ein Unternehmen den Grundsatz der Datenvermeidung und Datensparsamkeit zu beachten, personenbezogene Daten nur auf Basis einer Rechtsgrundlage (gesetzliche Vorschrift, Vertragsverhältnis, vertragsähnliches Vertrauensverhältnisses oder Einwilligung des Betroffenen) zu erheben, zu verarbeiten oder zu nutzen, die Zweckbindung erhobener Daten zu beachten und angemessene technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes sicherzustellen.
Die innerbetriebliche Organisation ist dabei so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Wenn eine Aufsichtsbehörde gravierende datenschutzrechtliche Mißstände feststellt, kann sie sogar die Datenverarbeitung untersagen.
Neben etwaigen Restriktionen formulieren die Datenschutzbestimmungen auch vielfache Protokollierungsaufgaben, um etwa die Sicherstellung eines ordnungsgemäßen Betriebs der eingesetzten Datenverarbeitungsanlagen nachweisen zu können. Diese Protokolle unterliegen allerdings einer strengen Zweckbindung und dienen vor allem der Beweissicherung in Mißbrauchsfällen.
Seit Mai 2016 gibt es die Datenschutz-Grundverordnung (DSGVO). Die Strafen wurden für Verstöße empfindlich angehoben (4 % des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio Euro - je nachdem was höher ist). Unternehmen haben nun in der 2-jährigen Übergangsfrist bis zum 25. Mai 2018 Zeit ihr betriebliches Datenschutzmanagement entsprechend aufzubauen. Wir empfehlen rechtzeitig (spätestens Ende 2016) damit zu beginnen!
Das Buch zur Datenschutz-Grundverordnung
Unser Buch "Datenschutz-Audit", deren Co-Autor Thorsten Jost ist, kann Ihnen beim Aufbau sowie beim Audit von Datenschutz-Managementsystemen (DSMS) eine wertvolle Hilfe sein.
Nähere Infos zum Buch finden sie hier.